Den mest alvorlige av de to Apache HTTP Server-sårbarhetene som Digi.no omtalte onsdag denne uken, viser seg å være mer alvorlig enn først antatt. I beskrivelsen av sårbarheten heter det at den åpner for sti-traversering og potensiell lesetilgang til langt flere filer på systemet enn dem som er tilgjengelige i dokumentrot-mappen, noe som har blitt utnyttet i faktiske angrep.
Åpner for fjernkjøring av kode
Men videre undersøkelser fra eksterne sikkerhetsforskere har avdekket at sårbarheten også gjør det mulig å fjernkjøre både innebygde kommandoer og opplastede, kjørbare filer på det sårbare systemet. Dette skriver Bleeping Computer som viser til flere slike konseptbevis som onsdag ble publisert på Twitter.
På Linux-baserte servere vil kjøring av opplastede filer gjerne kreve at angriperen også greier å endre tillatelsen til filen, slik at den blir kjørbar. Dette gjøres typisk med kommandoen chmod +x. På Windows-baserte servere har det blitt demonstrert at det innebygde kalkulatorprogrammet i Windows kan startes ved å besøke en spesifikk nettadresse.
Crowdstrike-kollapsen: Dette gikk galt
Langt fra alle servere er berørt
Noen forutsetninger må likevel være tilstede.
For det første finnes sårbarheten kun i versjon 2.4.49 av HTTP Server. Denne versjonen kom i juni i år, og det er langt fra alle som har tatt den i bruk.
En annen forutsetning for fjernkjøring av kode, er at støtten for CGI (Common Gateway Interface) er aktivert med modulen mod_cgi. I tillegg må standardinnstillingen «Require all denied» mangle i konfigurasjonen.
Mange Apache-baserte webservere vil dermed ikke være berørt av sårbarheten, men sårbarheten er ekstremt enkel å utnytte på servere som faktisk er sårbare.
De som benytter Apache HTTP Server 2.4.49 anbefales derfor å oppdatere til versjon 2.4.50 så raskt som mulig.
Alvorlig sårbarhet gjeninnført i OpenSSH